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(57) Abstract: The invention concerns 
a method for universal calculation on 
the points of an elliptic curve. The 
invention is characterized in that the 
elliptic curve is defined by a quartic 
equation and identical programmed 
calculating means are used for operating 
an addition of points, a doubling of 
points and an addition of a neutral point, 
the calculating means comprising in 
particular a central unit (2) associated 
with a memory (4, 6, 8). The invention 
also concerns a cryptographic method 
using such a universal method. 
The invention further concerns a 
component for implementing the 
universal calculation method and/or the 
cryptographic method. For example, the 
invention is applicable to smart cards. 
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(57) Abrege : L'invention concerne un proc£d6 de calcul universe] sur des points d'une courbe elliptique. Selon 1' invention, la 
courbe elliptique est deTinie par une equation quartique et des moyens de calcul programmes identiques sont utilises pour realiser une 
operation d'addition de points, une operation de doublement de points, et une operation d'addition d'un point neutre, les moyens de 
calcul comprenant notamment une unit£ centrale (2) associee a une memoire (4, 6, 8). L'invention concerne egalement un procgde* 
cryptographique utilisant un tel proc6d£ universel. L' invention concerne encore un composant pour mettre en uvre le proc£d£ de 
calcul universel et / ou le proc£d6 cryptographique. Exemple d* application: cartes a puce. 
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PROCEDE bE CALCUL UNIVERSEL APPLIQUE A bES POINTS D'UNE 
COURBE EULIPTTQUE bEFINIE PAR UNE QUARTIQUE. PROCEbE 
CRYPTOSRAPHIQUE ET COMPOSANT ELECTRONIQUE ASSOCIES 

La present e invention concerne un proc^de de calcul 
universel applique a des points' -d'une courbe ' elliptique, 
et un composant electronique comprenant ' des moyens de 
. mise en oeuvre d'un tel procede. L 1 invention est notamment 
5 applicable pour la mise en oeuvre d 1 algorithmes 
cryptographiques du type a cle publique,- par exemple dans 
des cartes a puce. 

Les algorithmes a cle publique sur courbe 
elliptique permettent des applications cryptographiques 
10 de type chiffrement, signature numerique, 

authentif ication. . . 

lis sont notamment tres utilises dans des 
applications de type carte a puce, parce qu'ils 
permettent d'utiliser des cles de faible longueur, 
15 autorisant des temps de traitement assez courts, et 
qu f ils peuvent ne pas necessiter 1 1 utilisation de crypto- 
processeurs pour leur implementation, ce qui diminue le 
prix de revient des ' composants electroniques dans 
lesquels ils sont implementes. 

20 

Avant d'aller plus, loin, il convient tout d f abord 
de faire quelques .-rappels sur' les courbes elliptiques. 

Les points d'une'courbe elliptique sont definis sur 
un corps % et foment, un groupe' ab<§lien* dans lequel. 

25 1' operation de groupe est 1' addition* de points notee +, 
et ou il se distingue un element neutre note O. 

Pour un corps f'ini, le cardinal de <E(%) est fini.. Il 
existe done pour tout point P un entier m tel que : 

O = rh.P= p + ,P + ... + p, m fois 
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et tel que- pour tout entier k< m, on a k.P ^ O. Un 
tel entier m est appele ordre de P. Dans ce cas, m divise 
le cardinal de <E(K). 

Certaines courbes ont des. proprietes particulieres . 
5 Par exemple, une courbe elliptique ayant un point d' ordre 
_ 2 a un cardinal divisible par 2. Ou bien / une courbe 
elliptique ayant un point d 1 ordre trois est une courbe 
telle que le cardinal du groupe (E(7Q est divisible par 3 . 
Les courbes ayant une. m§me propriete particuliere sont 
10 • regroup^es dans une m§me famille. 

Un point d'une courbe elliptique peut §tre 
represents par plusieurs types de coordonnees, par 
exemple par des coordonnees affines ou des coordonnees 
projectives de Jac'obi . . 
15 II existe differents modeles pour definir une 

courbe elliptique applicable eii cryptographie . Un modele 
couramment utilise est le module dit de Weierstrass. Le 
module de Weierstrass est . tres general puisque toute 
\ courbe elliptique peut se ramener sous ce module. 
20 Chaque modele peut etre utilise & 1 1 aide des 

differents types de coordonnees . 

Par exemple, en coordonnees affines et dans le cas 
ou la caracteristique p du corps ?C est dif ferente de 2 et 
3, le modele de Weierstrass est defini de la manidre 
25 suivante : le point neutre O (le point & 1 1 inf ini dans le 
module de Weierstrass) et 1 1 ensemble des points 
(X, Y) % 2Cx?G verifiant l 1 equation : 

E/3C : Y 2 = X 3 + a*X + b (Fl) 
avec a, b % ?C tels que 4a 3 + 27b 2 * 0, forment le 
30 groupe des points rationnels d'une courbe eiliptique (E(70. 
Le point P peut aussi §tre repr^sente par des coordonnees 
projectives de Jacobi de la forme generale (U ,V ,W) . 
(X, Y) et (U ,V ,W) sont li<§es par les relations 
suivantes : 

35 X = U/W et Y = V/W 2 (F2) 
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Avec ces coordonnees projectives de Jacobi, 
l'equation de Weierstrass d f une courbe elliptique 
devient : 

E/?C : V 2 = U 3 + a*UW 4 + b*W 6 (F3) 
5 Les coordonnees projectives sont notamment 

interessantes dans les calculs d 1 exponentiation appliques 
.' a des points d ! une courbe elliptique, car ils ne 
comporterit pas de calculs d 1 inversion dans le corps. 

Comme le montrent la f ormule F2 , un m§me point a 
10 . plusieurs representations possibles en coordonnees 
projectives de Jacobi . Aussi, on definit sur T@ \ 
{(0, 0, 0) } , la relation d 1 equivalence suivante : deux 
elements, de coordonnees (U , V , W) et (U 1 , . V , W) sont 
dits equivalents, et appartiennent a une meme . classe 
15 d 1 equivalence, si et seulement si il exis.te un element X 
non nul de % tel que. 

(U', V, W«). = XV, X 2 V, XW) (F4) 
Les coordonnees d'un 1' element de cette classe sont 
notees (U : V : W) . 

20 

Selon le module qui definit la courbe- elliptique et 
selon les coordonnees avec lesquelles on travaille, 
dif f ^rentes • formules d 1 addition, de soustraction et- de 
doublement de points -sont applicables. Dans le cas du 
25 modele de Weierstrass, de tel les formules sont connues et 
donnees par la regie bien- connue de la secante et de la 
tangente 

Dans I'exemple d'une. courbe elliptique E donnee par 
un moddle de Weierstrass en coordonnees af fines sur un 
30 corps de caracteristigue differente de 2 et 3, les 
formules d* addition, de soustraction et de doublement de 
points les plus simples sont les suivantes . 

L f inverse d'un point PI = (XI, Yl) de. la courbe E 
est le point - PI = (X x , Y x ) avec 
35 Yl = - Yl (F5) 
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L 1 operation d' addition des points PI de coordonnees 
(XI, Yl) et P2 de coordonnees (X2, Y2) de cette courbe, 
avec PI * - P2, donne le point P3 = PI .+ P2 dont les 
coordonnees (X3,. Y3) sont telles que : 



5 X3 = X 2 - XI - X2 (F6) 

Y3 = Xx(Xl-X3) - Yl, (F7) 
avec 

X = (Y1-Y2) / (X1-X2) , si PI * P2 (F8) 

X = (3xXl 2 +a) / (2xYl) , si PI - P2 (F9) 



10 La formule F8 est utilisee pour additionner deux 

points distincts (P3 = PI + P2) tandis que la formule F9 
est utilisee pour une operation de doublement de point 
(P3 = 2XP1) . 

Les formules F6 k F9 ne sont pas valables lorsque 
15 PI et / ou P2 est egal au point neutre O. Le plus 
souverit, en pratique, on ne realise pas d 1 operation de 
type P3 « PI + O. Plus simplement , avant la realisation 
d'une operation d 1 addition de type P3 = PI + P2, ii est 
teste si l ! un au moins des points est egal au neutre O. 
20 On realise . alors 1" operation P3 = PI si PI = .Oou P3 = P2 
si P2 = O. 

Les operations d 1 addition ou soustraction, de 
doublement d ! un point et l f operation d 1 addition du neutre 
sont les operations de base utilisees dans les 

25 algorithmes de multiplication . scalaire , sur les courbes 
elliptiques : etant donne un point PI appartenant a une 
courbe elliptique E et d un nombre predetermine . (un 
entier) , le resultat de la multiplication scalaire du 
point PI par le nombre d est un point P2 de la courbe E 

30 tel que P2 = dxPl = PI + PI + . „ . + Pi, d fois. A noter 
que si PI est d f ordre n , alors nxPl = O, 
(n+l)xPl = P1+ O = PI etc., O etant le point neutre. 

Les algorithmes cryptographiques a cle publique sur 
courbe elliptique sont bases sur la multiplication 

35 scalaire d f un point PI select ionne sur la courbe, par un 
nombre predetermine d, une cle secrdte. Le resultat.de 
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cette multiplication scalaire dxPl est un point P2 de la 
courbe elliptique. Dans un exemple d 1 application au 
chiffrement selon le precede de El Gamal, le point P2 
obtenu est la cle publique qui . sert au chiffrement d f un 
5 message, 

Le calcul de la multiplication scalaire P2 = dxPl 
peut Stre realise par differents algorithmes. On peut en 
citer quelques-uns, comme l'algorithme de doublemerit et 
d 1 addition ("double and add" dans la litterature anglo- 

10 saxonne) base sur la representation. binaire du 
multiplieur d, l'algorithme dit "d 1 addition- 

soustraction" base sur la representation binaire signde 
du multiplieur d, 1 1 algorithme avec fen§tre. . . 

Tous ces algorithmes* utilisent les formules 

15 d f addition, de soustraction, de doublenient et d f addition 
. du neutre definies sur les courbes elliptiques. 

Cependant, ces algorithmes se revSlent sensibles 
aux attaques visant a decouvri'r notamment la valeur de la 
c!6 secrete d. On peut citer notamment les attaques a 

20 canaux caches, simples ou dif f erentielles . 

On entend pair attaque a canal cache ■ simple ou 
dif f 6rentielle, une attaque basee sur une grandeur 
physique mesurable de l f ext6rieur du dispositif, et dont 
1' analyse directe (attaque simple) ou I'analyse selon une 

25 methode statistique (attaque dif f erentielle) permet de 
decouvrir des informations contenues et manipulees dans 
des traitements dans le dispositif.. Ces attaques peuvent 
ainsi permettre de decouvrir des informations 
conf identielles . Ces attaques ont notamment ete devoilees 

30 dans Dl (Paul Kocher, Joshua JAPFE et Benjamin JUN. 
Differential Power Analysis. Advances in Cryptology - 
CRYPTO '99, vol. 1666 of Lecture Notes in Computer 
Science, pp. 388-397. Springer-Verlag, 1999). Parmi les 
grandeurs physiques qui peuvent etre exploitees a ces 

35 fins, on peut citer le temps d 1 execution, la consommation 
en courant, le champ electromagnet i que rayonne par la 
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partie du composant utilisee pour executer. le calcul, 
etc. Ces attaques sont basees sur le fait que la 
manipulation d'un bit, c'est a dire son traitement par 
une instruction particuliere, a une empreinte 
5 particuliere sur la grandeur physique c6nsideree selon la 
valeur de ce bit et/ou selon 1 1 instruction. 

Dans les systemes cryptogr^phiques bases sur des 
courbes elliptiques, ces attaques visent a identifier une 
operation (par exemple une addition de points de type 

10 P3 = PI + P2, une addition de type P3 = PI + O, une 
multiplication scalaire de type P3 = d*Pl) dans un 
ensemble d ? operations r§alisees successivement . 

Si on prend 1 ' exemple d'un algorithme de 
•multiplication scalaire sur courbes elliptiques avec le 

15 modele de Weierstrass, cet algorithme peut etre sensible 
aux attaques a canaux caches de type simple, car les 
operations de base de doublement de points, d' addition de 
points ou d 1 addition du point neutre sont sensiblement 
differentes comme le montre le calcul du lambda dans les 

20' formules F8 et F9 supra. 

II est done n^cessaire de prevoir des procedes de 
contre-mesure permettant. d'empecher les differentes 
attaques de prosperer. En d'autres. termes, il. est 
necessaire" de securiser les algorithmes de multiplication 

25 scalaire. 

Pour cela, de D2 (Eric " Brier et Marc Joye. 
Weierstrass elliptic curves and side-channel attacks. In 
D. Naccache, editor, Public Key Cryptography, volume 2274 

30 of Lecture Notes in Computer Science, pages 335-345. 
Springer-Verlag, 2002) , il est connu une formulation 
unique pour une operation de doublement de points et une 
operation d' addition de points. Ainsi, les deux 
operations ne peuvent plus §tre dif f erenciees par une 

35 attaque a canal cache. Cette formulation cependant 
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presente 1 1 inconvenient de ne pas etre valable pour 
realiser une operation d' addition du point neutre. 

De . D3 (Pierre-Yvan Liardet . et Nigel P. Smart. 
Preventing SPA/DPA in ECC systems using the Jacobi form. 
5 in C.K.Kog, D. Naccache, and C. Paar, editors, 
Cryptographic Hardware and embedded Systems - CHES 2 001/ 
volume 2162 of Lecture Notes in Computer Science, pages 
391-401. Springer-Verlag, 2001) , il est egalement connu 
une formulation, unique pour une operation d 1 addition et 

10 une operation, de doublement de points. Cette formulation 
cependant n'est applicable que dans le cadre d'une courbe 
elliptique ayant trois points d'ordre 2. De plus, la 
formulation propos^e dans D3 demande un espace memoire 
considerable pour etre mise en oeuvre car les points sdnt 

15 memorises avec quatre coordonnees . Ceci est dif f icilement 
compatible avec une application de type carte a puce. 

De D4 (Marc Joye et Jean- Jacques Quisquat>er. 
Hessian elliptic curves and side-channel attacks.' In 
C.K.Kog, D. Naccache, and C. Paar, editors, Cryptographic 

20 Hardware and embedded Systems - CHES ,2 001, volume 2162 of 
Lecture Notes in Computer Science, pages 402-410. 
Springer-Verlag, 2001), il est encore connu une 
formulation unique pour une operation d 1 addition et une 
operation de doublement- de points. Cependant, cette 

25 formulation • est applicable uniquement aux courbes 
elliptiques ayant un point d'ordre trois. 

D3 et D4 n'evoquent pas le probleme de l 1 addition 
du neutre. 

30 Un but de 1 1 invention est de proposer une solution 

de protection contre les attaques a canaux caches, 
notamment les attaques SPA, plus efficace que les 
solutions deja connues. 

Un autre but de l 1 invention est de proposer line 

35 solution qui peut etre mise en oeuvre dans un circuit 
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disposant de peu d'espace memoire, en vue par exemple 
d'une application de type carte a puce.. 

Ces objectifs sont atteints dans 1 1 invention par 
une formulation unique permettant de realiser une 
5 addition de deux points distincts, un doublement de 
points, et une operation d 1 addition du neutre. La dite 
formulation selon l f invention est de plus minimale : on 
limite ainsi le nombre / d 1 operations a effectuer et 
l'espace memoire necessaire pour sa mise en'oeuvre.. 

10 

Ainsi, 1' invention concerne .un procede ' de calcul 
universel sur des points d'une courbe elliptique. Selon 
1 ! invention, la courbe elliptique est definie par une 
Equation quartique et des moyens de calcul programmes 

15 identiques sont utilises pour realiser une operation 
d' addition . de points, une operation de doublement de 
points, et une operation d'addition d'un point neutre, • 
les moyens de calcul comprenant notamment une unite 
centrale associee a une memoire . 

20 En d-'autres termes, selon 1 1 invention, 

1 'utilisation d'un modele de la courbe elliptique sous 
forme de quartique (c • est-a-dire d'un polynome du 4 dme 
degre)- permet d'utiliser une formulation unique pour 
realiser des operations . d 1 addition . de points, de 

25 • doublement de point et de d ! addition du point neutre de. ' 
la courbe. 

II devient alors impossible de distinguer l ! une de 
ces operations des autres par une attaqiie telle qu'une 
attaque a canal cache. 

30 Par ailleurs, 1 'utilisation d'un modele de la 

courbe sous forme de quartique permet de representer un 
point a l'aide de seulement 3 coordonnees projectives, ce 
qui limite l'espace memoire necessaire pour memoriser les 
coordonnees d'un point et diminue les temps de calcul 

35 lors d 1 operations sur des points. 
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Enfin, comme on le verra mieux dans des exemples, 
la formulation unique obtenue selon 1 1 invention pour 
realiser trois types d 1 addition (addition de deux points 
distincts, doublement cie points et addition du neutre) 
5 utilise un ■ nombre limite d' operations element aires de 
type multiplication, ce qui limite encore les temps de. 
calcul et 1 1 espace memoire necessaire . 

L 1 invention concerne egalement 1 utilisation d'un 
10 procede de calcul universel tel que decrit ci-dessus, 
dans un procede de calcul de multiplication scalaire 
applique des points d'une courbe elliptique, et / ou 
dans un procede cryptographique . 

L ' invention concerne encore un composant 
15 electronique comprenant des moyens de calcul programmes 
pour mettre en oeuvre un procede de calcul universel tel 
que decrit ci-dessus ou un procede cryptographique 
utilisant. le procede de calcul universel ci-dessus. Les 
moyens de calcul comprennent notamment une unite centrale 
20 . associee a une memoire. 

Enfin,- l 1 invention concerne egalement une carte a 
puce comprenant le composant electronique ci-dessus. 

.L 1 invention et les . avantages qui en decoulent 
25 apparaitront plus clairement a la lecture - de la 
description qui suit d^xemples particuliers de 
realisation de 1 1 invention/ donnes & titre purement 
indicatif et en reference a la figure unique en annexe. 
Celle-ci represente sous forme de schema bloc un. 
30 dispositif 1 electronique apte a realiser des calculs 
cryptographiques . 

Dans les exemples suivants, le .dispositif 1 est une 
carte a puce destinee & executer un programme 
cryptographique. A cette fin, le dispositif 1 reunit dans 
35 une puce des moyens de calcul programmes, composes d'une 
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unite centrale 2 reliee f onct" ionnellement a un ensemble 
de memo ires dont : 

- une memoire 4 accessible en lecture seulement, 
dans l'exemple du type ROM masque, aussi connue sous 
5- 1 1 appellation anglaise "mask read-only memory (mask " 
ROM) » , . 

une memoire 6 re -programmable electriquement , 
dans l'exemple du type EE PROM (de 1' anglais "electrically 
erasable programmable ROM") , et 
10 - une memoire de travail 8 accessible en lecture et 

en ecriture, dans l'exemple du type RAM (de l 1 anglais 
"random access memory"). Cette memoire comprend notamment 
des registres de calcul utilises par le dispositif 1. 

Le code executable correspondant a 1 1 algorithme de 
• 15 multiplication scalaire est contenu en memoire programme. 

Ce code peut en pratique etre contenu en memoire 4, 
- ' accessible en lecture seulement # et/ou en memoire 6, 
reinscriptible . 

L' unite centrale 2 est reliee & 'une interface de 
.20 communication 10 qui assure l'echange de signaux vis-&- 
vis de l'exterieur et 1 1 alimentation de • la puce. Cette 
interface .peut comprendre des plots sur la' carte pour line 
connexion dite "a contact" avec un lecteur, et/ou une 
antenne dans le cas d'une carte dite "sans contact". 
25 L'une des fonctions du dispositif 1 est de chiffrer 

ou dechiffrer un message m confidentiel respectivement 
transmis vers, ou regu de, l'exterieur. Ce message peut 
concerner par exemple 'des codes personnels, des 
• informations ' medicales, une comptabilit6 sur des 
30 transactions bancaires ou commerciales , des autorisations 
d'acces a certains services restreints, etc. Une autre 
fonction est de calculer ou de verifier une signature 
numerique. 

Pour realiser ces fonctions,' l 1 unite centrale 2 
35 execute un algorithme cryptographique sur des donnees de 



WO 2004/017193 




•CT/FR2003/002462 



11 



progr animation qui sont stockees dans les parties ROM 
masque 4 et/ou EE PROM 6 . 

L 1 algorithme utilise ici est un algorithme a cle . 
publique sur courbe elliptique dans le cadre d f un modele 
5 sous forme d ! une ,quartique. On s 1 interessera plus 
precisement ici a une partie de cet algorithme, qui 
permet de realiser des operations de base, c^st-a-dire 
des operations d 1 addition : addition de deux points 
distincts, de deux points iclentiques (c ' est-a-dire une 

10 operation de doublement d'un point) , . de un point 
quelconque et du point neutre.. 

On ' rappelle que, selon 1' invention, ces trois 
operations sont realisees a partir de la meme formulation 
et sont done non distinguables l'une de 1 1 autre depuis 

15 1 1 exterieur pour une attaque a canal cache simple. 

Dans le cadre de 1 1 invention, on s 1 interesse aux 
modeles de courbes elliptiques definies par une. equation 
quartique au lieu de -l 1 equation cubique de Weierstrass 
20 habituellement utilisee. 

La forme generale d'une quartique, en coordonnees 
af fines,, est donnee par la relation : 

Y 2 = aO.X 4 + al.X 3 + a2.X 2 + a3.X + a4 (F10) 
. ou; en coordonnees project ives de Jacobi par la 
25 relation : 

V 2 = aO.U 4 + al.U% + a2.U 2 W 2 + a3.UW 3 + a4.W 4 (Fll) 
sachant que les coordonnees af fines et les 
coordonnees projective .de Jacobi "d T un meme point sont 
liees pair la relation : 
30 (X* , Y) = (U/W , V/W 2 ) (F12) 

Dans un* premier .exemple de mise. en oeuvre -de 
l 1 invention, on considdre une courbe elliptique 
quelconque, et on realise une operation de type P3 « 
35 P1+P2, avec PI, P2, deux points quelconques de la courbe 
elliptique. P2 peut §tre different de PI, egal a PI et / 
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ou egal au neutre O de la courbe. L 1 operation d' addition 
est r^alisee en coordonnees projectives de Jacobi. 
On montire que toute courbe d 1 Equation 

Y 2 = .X 3 + a.X + b (equation de Weierstrass) 
5 est birationnellement equivalente a une courbe. 

d 1 equation , 

Y 2 = b.X 4 + a.X 3 + X (F13) 
L 1 equation F13 est finalement un cas particulier de 
l 1 equation F10, avec aO=b, al=a, a2=Q / a3=l, a4=0 . 
10 En utilisant les relations d' equivalence F12, on 

montre que 1 'equation' F13 peut 6galement s'ecrire, en. 
coordonnees projectives de Jacobi : 

V 2 = b.U 4 + a.U 3 W + UW 3 (F14) 
Lorsque le dispositif de calcul de multiplication 
15 scalaire est sollicite pour realiser une operation 
d 1 addition, 1' unite centrale 2 memorise tout d'abord dans 
des registres. de calcul les coordonnees (Ul : VI : Wl) ef 
(U2 : V2 : W2) des points PI, P2 de la courbe elliptique, 
a additionner. 

20 L 1 unite centrale 2 calcule ensuite les coordonnees 

du point P3 selon les relations : 
U3 "= 2.b.Ul 2 .U2 2 

+ (aUl.U2 + W1.W2) . (U1.W2+W1.U2) + 2V1.V2 (F15) 
V3 = (U1 2 .V2+U2 2 .V1) * 
25 (4b. (U1.W2+U2 .Wl) .W1.W2 

- 8b 2 . (U1.U2) 2 

+ a.[(2Wl.W2) 2 - (aUl.U2+Wl.W2) 2 ] 
+ (W1 2 .V2+W2 2 .V1) * 

[ ( aUl . U2 +W1 . W2 ) 2 - ( 2aUl . U2 ) 2 +4bUl . U2 . ( Wl . U2 +U1 . W2 ) ] 
30 -4bUl.U2. (U1.W1.V2+U2.W2.V1) (aUl .U2-W1 . W2) (F16) 

W3 - (aUl.U2-Wl.W2) 2 -4bUl.U2 (U1.W2+U2.W1) (F17) 

Les coordonnees (U3 : V3 : W3) du point P3 sont 
finalement memorisees dans des registres de la memoire de 
travail 8, pour €tre utilisees par. ailleurs, par exemple 
35 pour la suite de I'algorithme de chiffrement. 
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On verifie que les formules F15 & F17 sont valides, • 
meme dans le cas ou PI = P2 (doublement de point) ou dans 
le cas ou P2 = 0(0 : 0 : 1) (addition du neiitre) . 

5 Dans un deuxieme exemple de mise en oeuvre de 

I 1 invention, on considere une courbe elliptique' ayant un 
seul point d'ordre deux, de coordonnees af fines (0, 0), et 
on realise une operation de type P3 = P1+P2, avec PI, P2, 
deux points quelconques de la courbe elliptique. P2 . peut 
.10 etre different de PI, egal a PI et / ou egal au neutre O 
de la courbe. L 1 operation d 1 addition est dorin^e ■ en 
coordonnees projectives de Jacobi. 

Le point d'ordre deux verifiant . I 1 equation de 
Weierstrass definissant la courbe elliptique, G est defini 
15 par la relation : 

0 3 + a. 9 + b = 0 

On montre alors que toute courbe d f Equation 

Y 2 = X 3 + a.X + b (equation de Weierstrass) 
et ayant un unique point (0, 0) d'ordre deux est 
20 birationnellement equivalente a une courbe d' equation 

Y 2 = s.X 4 - 28.X 2 + 1 (F18) 
avec : 

8 - - (a+30 2 /4)/4 et 5 = 30/4 (F19). 
L 1 equation F18 est finalement un cas particulier de 
25 1' equation F10, avec a0=s, al = 0, a2= -25, a3 = 0, a4=l. 

En utilisant les relations d 1 equivalence F12, on 
montre que l 1 equation F18 peut egalement s'^crire, en 
coordonnees projectives de Jacobi : 

V 2 = e.X 4 - 25.U 2 X 2 + W 4 (F2 0) 

30 Le passage du moddle cubique Y 2 = X 3 + aX + b au 

modele quart ique Y 2 = 8.X 4 - 25. X 2 + 1 se fait par- les 
transformations suivantes .: 

moddle de modele • 

Weierstrass quart i que 

35 (0, 0) 4 (0 : -1 : 1) 

(X,* Y) \ (2(X-0) : (2X+0) (X-0) 2 -Y 2 : Y) 
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O % (0:1: 1) 

modele modele de 

quart ique Weiers trass 

(0 : 1 : 1) 4 O 
5 (0 : -1 :• 1)4 (0, 0) 

(U : V : W) ^ (2(V+W 2 )/U 2 - 0/2, W ('4V+4 W 2 -3eU 2 ) U 3 ) 
On d£finit pour ce modele quartique le point neutre 
O (0 : 1 : 1) et le point inverse du point P ( U : V : W) 
par le point -P (-U :'*V : W) . . 
10 Lorsque le dispositif de calcul ' d 1 exponentiation 

est sollicite pour realiser une operation d 1 addition, 
I'unite centrale 2 memorise tout d'abord dans des 
regis tres de calcul ' les coordonnees (Ul : VI : Wl) et 
(U2 : V2 : W2) des points PI, P2 de la courbe elliptique, 
15 S. additionner. 

L 1 unite centrale 2 calcule ensuite les coordonnees 
du point P3 selon les relations : 

U3 = U1.W1.V2 + V1.U2.W2 (F21) 

V3 » [(W1.W2) 2 + e(Ul.U2) 2 ] 
20 * [VI . V2 - 25U1 . U2 . Wl . W2 ] +2£ . Ul . U2 . Wl . W2 (U1 2 W2 2 +W1 2 U2 2 ) ( F2 2 ) 

W3 - (W1.W2) 2 - S(U1.U2) 2 (F23). 
Les coordonnees (U3 : V3 : W3) du point P3 sont 

finalement memorisees daris des registres de la memoire de 

travail 8, pour etre utilisees par ailleurs, par exemple 
25 pour la suite de 1 1 algorithme de chiffrement. 

On verif ie la encore que les formules F21 a. F23 

sont valides, m§me dans le.cas 'ofl PI = P2 (doublement de 

point) ou dans le cas ou P2 = O (addition du neutre) . 

30 Dans un troisieme exemple de mise en oeuvre de 

1 ! invention, on considere un cas particulier du deuxiSme 
exemple, dans lequel la courbe elliptique a trois points 
d'ordre deux et est telle que 8=1. Egalement, on realise 
une operation de type P3 = P1+P2, avec PI, P2 , deux- 

35 points quelcdnques de la courbe elliptique. P2 peut etre 
different de PI, egal a PI et / ou egal au neutre O de la 
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courbe. L 1 operation d 1 addition est donnee en coordonnees 
projectives de Jacobi* pour le modele 

U 4 - 28.U 2 .W 2 + W 4 correspondant au module affine 
Y 2 = X 4 + 28, X 2 +1. 
5 Li 1 equation F24 est finalement un cas particulier de 

l'equation F10 la plus generale, avec aO = 1, al .= 0, 
a2 = -28, a3 = 0, a4 = 1. 

Lorsque le dispositif de calcul d * exponentiation 
10 est sollicite pour realiser une operation d 1 addition, 
. I 1 unite centrale 2 memorise tout . d'abord dans des 
regis tres de calcul les coordonnees (Ul : VI : Wl) .et 
(U2 : V2 : W2) des points PI, P2 de la courbe elliptique, 
a additionner. 

15 L 1 unite centrale 2 calcule erisuite les coordonnees 

du point P3 selon les relations : 

U3 = U1.W1.V2 + V1.U2.W2 (F27) 
V3 = [(W1.W2) 2 + (U1.U2) 2 ] 

* [VI . V2 - 28U1 . U2 . Wl . W2 ] +2U1 . U2 . Wl . W2 (U1 2 W2 2 +Wl 2 U2 2 ) ( F2 8 ) 

20 W3 = (W1.W2) 2 - (U1.U2) 2 (F29) 
Les coordonnees (U3 : V3 : W3) du point P3 sont 
finalement memorisees dans des registresde la memoire de 
travail 8, pour etre utilisees par ailleurs, par exemple 
pour la suite de 1 1 algorithme de chiffrement. 

25 On verifie la encore que -les formules F27 a F29 

sont efficaces, m§me dans le cas ou PI = P2 (doublement 
de point) ou dans le cas ou P2 = O (addition du neutre) . 

D ! un point de vue . realisation pratique, les 
30 formules F2 7 a F2 9 peuvent §tre realisees de la manidre 
suivante : 

rl p ul.u2 

r2 p wl.w2 

r3 p rl.r2 

35 r4 p yl . v2 

r5 p ul.wl + vl 
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p u2.w2 + v2 



10 



15 



20 



25 



30 



u3 p r5.r6 - r4-r3 

w3 p (r2-rl) . (r2+rl) 

r6 p 8*r3 

r4 p r4 - 2.r6 

r6 p (r2+rl)' 2 -2r3 

r4 p r4 . r 6 

r6 p (ul+wl) . (u2+w2) -rl-r2 

r5 p r6 2 - 2r3 

r 6 p r5 . r3 

v3 p r4 + 2 . r6 
o\X ul, vl, wl, u2, v2, w2, u3, v3 , w3 spnt des 
registres de calcul dans lesquels sont memorisees les 
coordonn'ees projeetives des, points PI, P2 , P3 , et rl a r6 
sont des registres temporaires de calcul. 

Ainsi, selon ce mode de realisation, les 
coordonnees du point P3 sont obtenues en un temps egal 
approximativement a 13 fois le temps de realisation d'une 
multiplication du contenu de deux registres + une f ois . le 
tenips de realisation d'une multiplication du contenu d'un 
registre par une constante. Le temps de calcul des 
coordonnees de P3 a 1 1 aide de la formulation • selon 
1 ! invention est ainsi bien inferieur au temps de calcul 
des coordonnees de P3 a l'aide d'une formulation telle 
que celles de I'art anterieur. 

A noter que cette approximation est tout a fait 
realiste car le temps de realisation d f une multiplication 
du contenu d'un registre par une constante ou d'une 
multiplication du contenu de deux . registres est en 
pratique tres superieur au temps . de realisation d'une 
addition du contenu de deux registres. 

Ceci est egalement vrai dans le cas de la mise en 
oeuvre des formules F15-F17 ou P21-F23. 

Dans un quatrieme exemple de mise en oeuvre de 
1' invention, on considere une courbe elliptique ayant un 
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seul point d'ordre deux, de coordonnees. af fines (9, 0), et 
on realise une operation de type P3 » P1+P2, avec PI, P2, 
deux points quelconques de la courbe elliptique, P2 peut 
§tre different de PI, egal a PI et / ou egal au neutre O 
5 de la courbe. 

Comme on 1 1 a vu dans le deiixieme exemple : 
0 3 +a.0+b=O 

La courbe d* equation de Weierstrass . 
Y 2 = X 3 + a . X + b 
10 et ayant un unique point (0, 0) d'ordre deux est 

birationnellement equivalente a une courbe d 1 equation 

Y 2 = E.X 4 - 25.X 2 + 1 (F18) 

. avec : ■..-"* 
8 = - (a+30 2 /4)/4 et 5 = 30/4 (F19) 
15 L 1 operation d 1 addition est donnees dans cet exemple 

en coordonnees af fines. 

Lorsque le dispositif de calcul d 1 exponentiation 
est sollicite -pour realiser une operation d 1 addition, 
l 1 unite centrale 2 memorise tout d f abord dans des 
20 registres de calcul les coordonnees (XI, Yl ) et 
(X2, Y2) des points PI, P2 de . la courbe elliptique, a 
additionner. 

L 1 unite centrale 2 calcule ensuite les coordonnees 
du point P3 selon les relations : 
25 X3 = (XI. Y2 + Y1.X2) / [1 - s(Xl.X2) 2 ] (F30) 
Y3 = { [1+8 (XI. X2) 2 ] . [Y1.Y2 - 26 . XI . X2] +28 . XI . X2 . (Xl 2 +X2 2 ) } 

/ [1 - 8(X1.X2)2] (F31) 
Les coordonnees (X3 , Y3) du point P3 sont 
finalement memorisees dans des registres de la memoire de 
30 travail 8, pour §tre utilisees par ailleurs, par exemple 
pour la suite de l'algorithme de chif f rement . 

On verifie la encore que les formules F30 a F31 
spnt valides, meme dans le cas ou PI = P2 (doublement de 
point) ou dans le cas oil P2 = O (addition du neutre) . 
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REVENDICATIONS 

1. Procede de calcul universel sur des points d'une 
courbe elliptique, caracterise en ce que la courbe 
elliptique est def inie par une Equation quartique et en 
ce que des moyens de calcul programmes identiques sont 

5 utilises pour realiser une operation d 1 addition de 
points, une operation de doublement de points, et une 
operation d 1 addition d'uft point neutre, les moyens de 
calcul comprenaiit notamment une unite centrale (2) 
associee a une memoire (4, 6, 8) . 

10 

2. Procedl selon la revendication 1, caracterise en 
ce que la courbe elliptique est definie par une equation 
quartique de type : 

V 2 = b.U 4 + a.U 3 .W + U.W 3 , 

15 (U : V : W) etant des ■ coordonnees projectives de 

Jacobi d'un point P de la courbe elliptique, et a, b 
etant des parametres de la courbe elliptique, un point de 
coordonnees (0:0:1) etant .un point neutre O de la 
courbe elliptique, un point de coordonnees (U : -V : W) 

20 etant un point inverse (~P) du point P de coordonnees 
(U : V : W) . 

3 • Procede selon la revendication 2 , dans lequel le 
point P est .^galement defini en' coordonnees af fines 
25 (X, Y) , les coordonnees af fines (X, Y) et les coordonnees 
. projectives de Jacobi (U : V : W) du point P etant liees . 
par les. relations. : 

(X, Y) = (U/W , v/w 2 )'. 

30 4. Procede selon la revendication 2 ou 3, dans 

lequel, pour, realiser l 1 addition d'un premier point PI 
defini par des premieres coordonnees projectives de 
Jacobi (Ul : VI : Wl) et d'un deuxieme point P2 defini 
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par des deuxidmes coordonnees projectives de Jacobi 
(U2 : V2 : W2) , les coordonnees du premier point PI et 
celles du deuxieme point P2 etant memorisees dans des 
premiers et deuxiemes registres de la memoire (4, 6, 8), 
5 le premier point et le deuxieme point appartenant & la 
courbe elliptique, 

les moyens de calcul programmes * calculent des 
troisiemes coordonnees. projectives de Jacobi 
(U3 : V3 : W3) definissant un troisidme point P3, 
10 resultat de 1' addition, par les relations suivantes : 
U3 = 2.b.Ul 2 .U2 2 

+ (aUl.U2 + W1.W2) . (U1.W2+W1.U2) + 2V1.V2. 
V3 = (U1 2 .V2+U2 2 .V1) *. 

(4b. (U1.W2+U2.W1) .W1.W2 
15 - 8b 2 . (U1.U2) 2 

+ a. [ (2W1.W2) 2 - (aUl.U2+Wl.W2) 2 ] 
+ (W1 2 .V2+W2 2 .V1) * 

C(aUl.U2+Wl.W2) 2 - (2aUl.U2) 2 +4bUl.U2.. (Wl -U2+U1 . W2) ] 
-4bUl.U2. (U1.W1.V2+U2:W2 .VI) (aUl . U2 -Wl . W2 ) 
20 W3 = (aUl.'U2-Wl.W2). 2 -4bUl.U2 (U1.W2+U2 .Wl) 

puis memorisent les troisidmes coordonnees 
projectives (U3, V3, W3), dans des troisidmes registres de 
la memoire (6, 8) . 

25 "5. Procede selon la revendication 1, dans lequel la 

courbe elliptique est une courbe comprenant un seul point 
d'ordre deux et est definie par une equation quartique de 
type : 

V 2 = e.U 4 -28.U 2 .W 2 + WS 

30 (U : V : W) etant des coordonnees projectives de 

Jacobi d'un point -P de la courbe elliptique, et s, 5 etant 
des parametres de la courbe elliptique, le point de 
coordonnees (0 : 1 : 1) etant le point neutre O de la. 
courbe elliptique, le point de coordonnees (-U : +V : W) 

35 etant le point inverse (-P) du point P (U : V : W) . 



WO 2004/017193 




CT7FR2003/002462 



20 



6. Procede selon la revendicatibn 5, dans lequel, 
pour realiser I 1 addition du premier point PI defini par 
des premieres coordonnees project ives de Jacobi 
(Ul : VI : Wl) et du deuxidme point P2 defini par des 

5 deuxiemes coordonnees project ives de Jacobi 

(U2 : V2 : W2) , . les coordonnees du premier point PI et 
celles du deuxieme point P2 etant memorisees dans des 
premiers et deuxiemes registres de la memoire (4, 6, 8) , 
le premier point et le deuxieme point appart'enant a la' 
10 courbe elliptique, 

les moyens de calcul programmes calculent des 
troisiemes coordonnees . project ives de Jacobi 
(U3 : V3 : W3) definissant un troisieme point P3 , 
resultat de l 1 addition, par les relations suivantes : 
15 U3 = U1.W1.V2 + V1.U2.W2 

V3 = [(W1.W2) 2 + 8(U1.U2) 2 ] 

* [V1.V2-25U1.U2.W1.W2]+26.U1.U2.W1.W2(U1 2 W2 2 +W1 2 U2 2 ) 
W3 = (W1.W2) 2 - S(U1..U2) 2 

puis memorisent les troisiemes • coordonnees 
20 projectives (U3 , V3, W3) dans les troisiemes registres de 
la memoire (6> 8) . 

7. Procede selon Tune des revendications 5 a 6, 
dans lequel la courbe elliptique est d^finie en 

25 coordonnees affines par une Equation du type : 
Y 2 = s.X 4 -28.X 2 +1 : 

(X, Y) etant des cpordonnees affines d'un point P 
de la courbe elliptique. 

30 8. Precede selon . la revendication 7, dans lequel, 

pour realiser l 1 addition du premier point PI defini par 
des premieres coordonnees affines (XI , YD et du deuxieme. 
point P2 defini par des* deuxiemes coordonnees affines 
(X2, Y2) , les coordonnees du premier point PI et celles 

35 du deuxieme point P2 etant m£moris6es dans des premiers 
et deuxidmes registres de la memoire (4, 6, 8), le 
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premier point PI et le deuxieme point P2 appartenant la 
courbe elliptique, 

les moyens de calcul programmes calculent des 
troisiemes coordonnees af fines 4 (X3, Y3) d<§finissant un 
5 troisieme point P3, resultat de l 1 addition, par les 
relations suivantes : 

X3 = (XI. Y2 + Y1.X2) / [1 - S(X1.X2)2]. 

Y3 = {. [1+8 (XI. X2) 2 ] . '[Y1.Y2 - 25 . XI . X2 ] +2s . XI . X2 . (Xl 2 +X2 2 ) } 
/ [1 - 8.(X1.X2)2] 
10 puis memorisent les troisiemes coordonnees af fines 

(X3, Y3) d^ns les troisiemes ; registres de la memoire - (6, 

8) ; 

9. Precede selon l'une des revendications 5^8, 
15 . dans lequel la courbe elliptique est une courbe 

comprenant trois points d'ordre deux et a pour parametre 
.6 = 1. 

10. Utilisation d'un procede de calcul selon l'une 
20 des revendications 1 a 9 dans un procede de calcul de 

multiplication scalaire applique a des points d'une 
courbe elliptique. 

11. Utilisation d'un procede de calcul selon l'une 
25 des revendications 1 a 9 dans un procede cryptographique . 

12. Composant electronique comprenant des moyens de 
calcul programmes pour met t re en ceuvre un procede selon 
l'une des revendications 1 a 9, les moyens de calcul 

30 comprenant* notamment une unite centrale (2) associee a 
une memoire (4,6,8). 



35 



13 . Composant electronique comprenant des moyens de 
mise en ceuvre d'Un algorithme cryptographique utilisant 
un procede selon l'une des revendications 1 a 9. 
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14 . Carte a puce comprenant un composant 
61ectronique selon la revendication 12 ou 13 . 
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anterieure (rfegles 4.17.iii) et 
51bis.1.a)lii)); 
Nom : 


concernant la presente demande 
Internationale 

GEMPLUS 

a le droit de revendiquer la priori te de 
la demande anterieure n° 0210193 en 
vertu : 


VIII-3-1 
0) 




du fait que le deposant est 1 1 inventeur 
de ce pour quoi une protection a ete 
demande e dans . la demande anterieure 


VII 1-3-1 
(ix) 
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fins: 


de toutes les designations 



